SBI証券から不正アクセス事件の調査報告、要点紹介【お金の安全】

ネット銀行・証券
ネット銀行・証券

こんにちは、そーたろー(@sotarowassyoi)です。

 

2020年9月に発覚したSBI証券の不正アクセス事件について調査報告が出たので紹介します。ポイントを押さえてお金の安全を確保しましょう。

 

そーたろー
そーたろー

ここはどんなブログなの?

  • お金、投資、資産運用、副業が中心のブログです。

 

そーたろー

この記事を書いたそーたろーはこんな人です。

  • 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
  • 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。

 

そーたろー

この記事は次のような人にオススメです

  • ネット証券で口座開設をしようと考えている人
  • SBI証券のセキュリティに関心がある人

 

スポンサーリンク

この記事の目的

SBI証券から2020年9月に公表された不正アクセス事件の調査報告がリリースされているので紹介します。

2020年1月22日のプレスリリースで以下の報告が公開されています。

悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について | SBI証券

報告書は13ページとボリュームがあるのでポイントをまとめて紹介します。

 

SBI証券の不正アクセス事件調査報告

事件の概要

被害状況

出金までされたのが6口座、出金はされなかったけど資産の売却があったのが5口座とのこと。

2020 年 7 月から 9 月にかけて、当社の 6 名のお客さまの口座において、お客さまの身に覚えのない出金先の銀行口座変更、有価証券売却及び当該銀行口座への出金が行われました。

また、その他の 5 名のお客さまの口座において、不正出金には至らなかったものの、有価証券の売却が不正に行われました。

  • 被害口座数:6 口座
    • (不正出金には至らなかったものの、有価証券の不正売却が行われたその他の被害口座数:5 口座)
  • 被害総額:不正出金合計 9,864 万円(ゆうちょ銀行:9,229 万円、三菱 UFJ 銀行:635 万円
    • (その他の不正売却合計:7,184 万円)

 

犯行の手口

攻撃者はアカウントやパスワードのリストを持っていた可能性があるようです。

本件において攻撃者は、当社のメインシステムサイトに対して、何らかのリストを元にログイン試行を繰り返すリスト型アカウントクラッキングの手法により不正ログインを実行したと考えられます。

不正ログインを行った攻撃者が、(中略)1,000 以上のアカウントへのログインを試みたことを確認しております。

不正ログインに成功した攻撃者は、出金先銀行口座の変更ページにアクセスし、取引パスワードを入力したうえで、不正に作られたお客さま名義の銀行口座に変更したと考えられます。

取引パスワードを入力するにあたっては、複数種類のパスワードの入力試行が複数回なされたものと思われます。

攻撃者は、銀行口座への出金ページにアクセスし、同様に取引パスワードを入力したうえで、既に変更を行った銀行口座への出金を実行するに至ったと考えられます。

【参考】リスト型アカウントクラッキングとは?

リスト型アカウントクラッキングとは攻撃対象のサイトとは別のサイトで漏えいしたIDとパスワードの一覧(リスト)を使って攻撃対象のサイトへログインを試みる手法です。

つまり利用者がパスワードを使いまわしていた可能性や、利用者が使っていた他所のサイトがIDとパスワードを漏えいさせていた可能性があったのかもしれません。

 

調査方法

外部の専門家による調査が実施されています。

当社と利害関係を有しない外部の専門家から構成される第三者委員会を設置し、調査・報告を受けたほか、サイバーセキュリティ対応に実績のある外部企業による調査も行っております。

調査にあたっては、各種資料、各種アクセスログなどの電子データの分析、当社及びその関係者に対するヒアリング、当社の端末のフォレンジック調査等を実施いたしました。

当初発見されたお客さま以外に被害のあったお客さまが存在しないか、お客さまへの直接確認等の方法により社内調査を継続して行っております。

【参考】フォレンジック調査とは?

ITの世界ではデジタル・フォレンジックといって、セキュリティ・インシデントが発生した場合に、外部ベンダーへ証拠データの調査・復旧を依頼することです。

ものすごく費用と時間が掛かりますが、何もわからないことも多いと聞いたことがあります。

 

原因の分析

以下の点について3ページに渡って反省点があげられています。

  • イ.オペレーショナルリスク管理態勢上の問題点
  • ロ.過去の外部検査機関による検査指摘を踏まえた「システムリスク管理態勢の高度化」への取り組みが十分な水準でない問題
  • ハ.全社的な視点で合理的、整合的かつ最適な方法によりリスクを洗い出すことができない問題
  • ニ.リスク顕在化時に財務等に大きな影響を及ぼすリスクが経営陣に十分に伝わっていなかった問題
  • ホ.新たなリスクや重点的に取り組むべきリスクの管理計画が策定されていない問題
  • へ.事後的・対症療法的リスク管理となっている問題
  • ト.内部監査態勢の問題
  • チ.課題

 

再発防止策

技術面における再発防止策

以下の具体的な施策が述べられています。

  • 多要素認証の導入
    • FIDO認証
    • デバイス認証
  • 通知機能の強化
    • メール配信の対象となるお手続きの拡充
    • ログイン履歴の拡充
  • その他のセキュリティ強化
    • 当社サイトにおけるお客さま情報のマスキング
    • パスワードの桁数拡張及び複雑化
  • ログイン監視機能の強化等

すでに実施済みのものは以下のとおりです。

ご登録情報変更・出金時等のメール配信について | SBI証券

当社サイトにおけるお客さま情報のマスキング対応について | SBI証券

【参考】FIDO認証とは?

FIDO認証とはFast IDentity Online(素早いオンライン認証)の略語でMFA(多要素認証)のひとつです。

FIDO認証は指紋や虹彩情報を使った生体認証がベースとなっています。

 

ガバナンス面における再発防止策

以下の点について2ページに渡って今後の取り組みがあげられています。

  • オペレーショナルリスク管理態勢高度化への取り組み
    • イ.リスク管理のプロセス
    • ロ.リスクの特定
    • ハ.リスクの評価
    • ニ.リスクのコントロール
    • ホ.リスクのモニタリング
    • ヘ.スケジュール
  • 内部監査の高度化への取り組み
  • レガシーシステムからの脱却
【参考】レガシーシステムとは?

古くなったシステムのことです。

OSやアプリケーションが古くてサポートがないのにもかかわらず、企業では様々な事情でシステムが残り続けなくてはならないことが多々あります。

レガシーシステムはセキュリティホールが残ったままなので好ましくありません。

 

内部犯行の可能性について

内部犯行の可能性はないようです。

現時点において不審な点は認められておりません。

第三者委員会及び外部企業による調査も行っております。そのような外部調査においても現時点で不審な点は見つかっておらず、内部犯行の可能性は極めて低いとの見解を得ております

 

関係者の社内処分

役員5名の減俸、北尾会長の報酬返納といった社内処分が実施されています。

 

セキュリティ対策を実施してお金の安全を確保しましょう

ここからは私個人の感想です。

SBI証券の不正アクセス事件は犯人逮捕に至っておらず、犯行手口も推測の域を出ません。

ただし状況証拠としては報告書にあるとおり「リスト型アカウントクラッキング」と考えるのが妥当なのでしょう。

これが事実であればSBI証券だけの責任ではないのかなー、というのが私の感想です。

ただそうは言ってもSBI証券としては「利用者の不注意だ」では済まされないでしょう。

以前から証券口座はネット銀行に比べてセキュリティ対策の導入が遅れている点が指摘されていたので、反省点がまったくなかったわけでもないと思います。

今回の報告書にも第三者委員会から指摘事項があげられているとおりです。

こうした背景から今後は証券口座においても本格的にサイバー犯罪対策が進められることでしょう。

今回の事件をきっかけに各ネット証券でも対策が進んでいます。

楽天証券から不正アクセス・不正出金の防止策が発表されたよ【注目】
SBI証券の不正送金事件を受けて楽天証券から不正アクセス・不正出金に関する防止策が発表されたので紹介します。 楽天証券のサイバーセキュリティ対策に関心がある人 この記事の目...
マネックス証券がワンタイムパスワードで出金時の不正送金対策を開始
マネックス証券が不正送金対策として出金時のワンタイムパスワード(二要素認証)に対応開始したので紹介します。 TOTP(認証アプリ)を利用する際のコツなども紹介します。 ...
サクソバンク証券のセキュリティと安全性を確認したよ【資産保護】
外国株オプション取引口座として今年2020年にサクソバンク証券で口座開設したので、セキュリティや資産保護の安全性などを確認しました。 サクソバンク証券で口座開設を検討している人 ...

利用者としては最低限のお作法を守りさえすれば証券口座は安全です。

【資産運用&お金の保管場所】銀行口座にお金を置くのは安全なの?
使わないお金の安全な保管場所としては個人向け国債か、待機資金の場合は銀行口座よりも証券口座の方が優れているのではないか、という考え方を紹介します。 お金の安全な保管場所に関心...
今すぐできるセキュリティ&不正送金対策13選【資産運用】
資産運用をする上で知っておくべきセキュリティ対策を紹介します。 ネット銀行の不正送金などにも大きな効果が期待できます。 自分の口座資産を守りたい人 お...

また各ネット証券が導入し始めているMFA(多要素認証)を利用していれば不正アクセスについてはほぼ防げると考えて差し支えないでしょう。

 

スポンサーリンク

まとめ

今回は2020年9月に発覚したSBI証券の不正アクセス事件の調査報告を紹介しました。

犯人が捕まっておらず手口などは推測の域を出ませんが、SBI証券としては再発防止に努めるとしています。

我々証券口座の利用者としてもこうした事件を教訓に自分の資産は自分で守れるよう日頃から備えておく必要があるでしょう。

 

 

\ この記事をシェアする /
\そーたろーをフォローする/
スポンサーリンク
そーたろーの「王国DIYガイド」